Sponsored by

Security Awareness auf allen Ebenen

Sagen Sie kriminellen Hackern den Kampf an – und zwar auf jeder Ebene Ihres Unternehmens.

Hier erfahren Sie, wie nicht nur Sie selbst, sondern auch Ihre Mitarbeiter zu wehrhaften Cybersecurity Warriors werden.

 

Warum Phishing funktioniert

15.02.2019
(Spear) Phishing nimmt im „Portfolio“ krimineller Hacker eine Sonderstellung ein. Die E-Mail ist laut dem aktuellen Verizon Data Breach Report* nach wie vor mit großem Abstand der gängigste Angriffsvektor im Unternehmensumfeld: 92 Prozent aller Malware-haltigen Vorfälle (die im Rahmen der Studie analysiert wurden) waren auf schadhafte, elektronische Post zurückzuführen. Wichtig zu wissen ist an dieser Stelle, dass eine Phishing E-Mail oft nur als „Türöffner“ für eine tiefergehende Kompromittierung des Unternehmensnetzwerks dient.

Cyberkriminelle, die ein wenig Aufwand nicht scheuen, können solche E-Mails täuschend echt aussehen lassen und sie zudem gezielt auf einzelne Personen ausrichten. Um Letzteres zu bewerkstelligen, machen sich die Angreifer Social-Engineering-Techniken zu Nutze, die wiederum auf Erkenntnissen aus Psychologie und Soziologie fußen und dementsprechend auf menschliche Emotionen wie Angst, Neugier, Mitleid oder auch die gute alte Gier fokussieren.

Übersetzt auf den beruflichen E-Mail-Verkehr ergeben sich einige, gängige Versuche, die IT-Sicherheit per E-Mail aus den Angeln zu heben:

E-Mail vom Chef: Wenn der Vorgesetzte per E-Mail darum bittet, die Powerpoint-Präsentation oder das PDF-Sheet einem gewissenhaften Check zu unterziehen, fragen viele Mitarbeiter nicht lange. Stammt die Mail allerdings von einem findigen Hacker, der Zeit und Mühe in den E-Post-Fake investiert hat, kann sich der zugetragene Task schnell in ein riesiges Einfallstor verwandeln.

Bitte ASAP: Unter Zeitdruck passieren Fehler. Das wissen auch Cyberkriminelle und machen sich diesen Umstand nur zu gerne zu Nutze. Das Ergebnis sind Phishing-Mails, die atemberaubende aber selbstverständlich zeitlich stark begrenzte Rabatte in Aussicht stellen oder über Online-Konten informieren, die angeblich in den nächsten fünf Minuten gesperrt werden.

Auto-Klick: Menschliche Handlungen, die ohne Beteiligung des Bewusstseins vonstattengehen, sind Automatismen. Wenn kriminelle Hacker solche Handlungen auslösen wollen, tun sie das, indem sie beispielsweise Nachrichten „faken“, die ihrerseits über scheinbar unzustellbare Nachrichten informieren. Die vermeintliche Lösung: Ein Klick auf den eher auffällig gestalteten „Call-To-Action Button“.

Nostra Culpa: Schuldeingeständnisse in Schriftform liest jeder gerne – solange es ihn selbst nicht betrifft. Allerdings kann die Information über ein mutmaßliches Datenleck auch nur ein raffinierter Trick Cyberkrimineller sein – insbesondere, wenn diese mit der Aufforderung einhergeht, auf einen Link zu klicken, um zu prüfen ob man selbst betroffen ist.

Professionelle, kriminelle Hacker sind mit vielen Wassern gewaschen und werden nicht müde, sich mit raffinierten psychologischen Tricks in Unternehmens-, aber auch Privat-Netzwerke zu schleichen. Um sich zuverlässig vor solchen (und anderen) Security-Katastrophen zu schützen, brauchen Sie das richtige Knowhow.

Sonst könnte es Ihnen am Ende wie Andreas L. ergehen:

*Zum Verizon Data Breach Report